講演抄録/キーワード |
講演名 |
2007-03-08 11:30
サンプルフロー情報を用いた異常トラヒック検出法の検出精度評価 ○川原亮一・石橋圭介・森 達哉・上山憲昭・原田薫明(NTT)・浅野正一郎(NII) IN2006-202 |
抄録 |
(和) |
著者らはこれまでに,ネットワークスキャンやSYN floodingのような小さなフローを大量生成する異常トラヒックはパケットサンプリングを行うと検出困難になることを実データを用いて示した.これは,このような異常フローが,正常フローに比べてパケットサンプリング時にサンプルされにくいことに起因する.本稿では,パケットサンプリングが異常検出精度へどのような影響を与えるかを定量的に分析する.その際,フローサンプリング時の異常検出精度とも比較する.また,パケットサンプリング後も異常トラヒックを適切に検出可能とするような,トラヒックの分割監視方法およびその分割数決定法についても述べる. |
(英) |
We showed so far that network anomalies generating a huge number of
small flows, such as network scans or SYN flooding,
become hard to detect when we execute the packet sampling.
This is because such flows are more unlikely to be sampled than normal flows.
In this paper, we thus investigate the effect of packet sampling on the detection accuaracy. We also compare the detection accuracy under packet sampling with that under flow sampling.
In addition, we also develop a method of spatially partitioning the traffic into groups to increase the detectability, as well as the way of determining the appropriate number of groups. |
キーワード |
(和) |
パケットサンプリング / 異常トラヒック検出 / フロー / / / / / |
(英) |
packet sampling / anomaly detection / flow / / / / / |
文献情報 |
信学技報, vol. 106, no. 578, IN2006-202, pp. 131-136, 2007年3月. |
資料番号 |
IN2006-202 |
発行日 |
2007-03-01 (IN) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IN2006-202 |